Настройка NAT на OPNsense
Автор: Роман Чернышов
Опубликовано: 30 апреля 2025
Казалось бы, что может быть проще настройки NAT для проброса портов из одной подсети в другую? Создаем правило, указываем интерфейс, порт для получения пакетов и IP:порт для перенаправления пакетов, и вроде бы всё. Но, не тут то было, как-то раз я промучился с пробросом портов аж целую неделю, а все потому, что система с которой мне предстояло поработать слишком изобилует функционалам и это OPNSense (может быть актуально и для pfSense). Далее расскажу, все же, как правильно настраивается проброс портов. Моя очередная заметка…
OPNSense — Операционная система на базе FreeBSD для организации маршрутизатора на безе ПК или сервера, с множеством функций, брандмауэром, плагинами для анализа трафика и многим другим (чем и подкупает). Шикарное решение если ваша подсеть чуть более чем пара-тройка ПК или уж тем более, если вы размещаете в своей посети сервера с публичным доступом (бизнес, хостинг, базы дынных, 1С и т.д.).
Настройка NAT
Задача — Пробросить порт 80 из сети WAN с IP 10.0.0.100 (для примера) на сервер в подсети LAN с IP 192.168.0.200.
На этом этапе вроде бы нет ни чего, неочевидного, идем в админпанель OPNsense -> Firewall -> NAT -> Port Forward, далее жмем Add (плюс), и добавляем новое правило со следующими параметрами:
Interface: WAN
TCP/IP Version: IPv4
Protocol: TCP
Destination: WAN address
Destination port range (from / to): HTTP
Redirect target IP: Single host or Network, IP: 192.168.0.200
Redirect target port: HTTP
Description: WAN HTTP to LAN:80
Filter rule association: Add associated filter rule
NAT Outbound
Настройка NAT Outbound необходима для так называемого маскардинга (Masquerading), подмены IP адреса клиента на IP адреса маршридизатора, от имени которого далее пойдут пакеты в сеть LAN. Это касается и обратного направления, когда пакеты движутся из LAN в сеть WAN, также необходимо настроить правило для маскардинга. Для этого идем в раздел OPNsense -> Firewall -> NAT -> Outbound и также жмем Add (плюс), затем добавляем новое правило, маскарадинг для пакетов из WAN в LAN, со следующими параметрами:
Interface: WAN
TCP/IP Version: IPv4
Protocol: TCP
Source address: LAN net
Source port: any
Destination address: WAN net
Destination port: any
Translation / target: Interface address
Description: NAT for LAN to WAN
Маскарадинг для пакетов из LAN в WAN:
Interface: LAN
TCP/IP Version: IPv4
Protocol: TCP
Source address: WAN net
Source port: any
Destination address: any
Destination port: any
Translation / target: Interface address
Description: NAT for WAN to LAN
Кто-то скажет: — «Ну это же элементарно», увы порой, чтобы решить казалось бы достаточно простую задачу, приходиться перепробовать гигантское количество конфигураций, прочитать десятки разделов документации, и в результате прейти к решению.
Полезные утилиты
В ходе настройки OPNSense, мне были полезны следующие утилиты:
Просмотр списка правил файрвола pfctl:
pfctl -s rules |
Просмотр списка правил NAT файрвола pfctl:
pfctl -s nat |
Просмотр состояние TCP-соединений:
netstat -rn |
Информация по IP и MAC интерфейса:
arp -a | grep 10.0.0.100 |
Запрос с использованием CURL, для проверки доступности сервера за NAT по протоколу HTTPS:
curl -v -H "Host: example.ru" https://192.168.0.200 --insecure |
Шикарная утилита, просмотр приходящих пакетов на интерфейс и определенный порт
tcpdump -i igb1 host 192.168.0.200 and port 80 |
Похожие записи
Оставить комментарий
Full Stack
Senior, Architect
предложить оффер
- jQuery: как получить значение атрибута?
- PHP работа с изображением, класс SimpleImage
- Интеграция с API ОСАГО сайта sravni.ru
- Комментарии на PHP, Ajax, mySQL
- PHP: Категории бесконечного уровня вложенности.
- Nginx редирект на другой сервис с сохранением URL спросил (а) Сергей
- Исполнитель пропал, почему такое случается и понять с кем работать? спросил (а) Артем
- Можно ли WordPress считать универсальным движком? спросил (а) Андрей
- Что такое самописный скрипт или CMS? спросил (а) Антон
- Как при поиске в linux используя grep, добавить исключения? спросил (а) Алексей
- к записи Обзор Insurance CMS — платформы для сайтов по страхованию
- к записи Консольный скрипт(JavaScript) для автоматических заказов на OZON
- к записи Консольный скрипт(JavaScript) для автоматических заказов на OZON
- к записи Как создать Telegram-бота с авторизацией через сайт
- к записи PHP скрипт: каталог закладок на сайты
- к записи Валидация на PHP
- к записи Сколько зарабатывают в бизнесе на совместных покупках
Archive
- +2025 (26)
- Апрель 2025 (7)
- Март 2025 (4)
- Февраль 2025 (9)
- Январь 2025 (6)
- +2024 (35)
- Декабрь 2024 (7)
- Ноябрь 2024 (13)
- Октябрь 2024 (8)
- Сентябрь 2024 (1)
- Август 2024 (5)
- Май 2024 (1)
- +2023 (27)
- Ноябрь 2023 (1)
- Октябрь 2023 (13)
- Сентябрь 2023 (10)
- Апрель 2023 (1)
- Март 2023 (1)
- Февраль 2023 (1)
- +2022 (21)
- Декабрь 2022 (11)
- Ноябрь 2022 (1)
- Май 2022 (2)
- Апрель 2022 (2)
- Март 2022 (3)
- Февраль 2022 (1)
- Январь 2022 (1)
- +2021 (17)
- Декабрь 2021 (5)
- Ноябрь 2021 (2)
- Июль 2021 (1)
- Июнь 2021 (2)
- Май 2021 (5)
- Апрель 2021 (1)
- Март 2021 (1)
- +2020 (20)
- Декабрь 2020 (6)
- Сентябрь 2020 (2)
- Август 2020 (1)
- Июль 2020 (2)
- Май 2020 (2)
- Апрель 2020 (2)
- Март 2020 (2)
- Февраль 2020 (1)
- Январь 2020 (2)
- +2019 (18)
- Декабрь 2019 (3)
- Ноябрь 2019 (2)
- Октябрь 2019 (2)
- Сентябрь 2019 (1)
- Август 2019 (2)
- Июль 2019 (1)
- Июнь 2019 (1)
- Апрель 2019 (2)
- Март 2019 (1)
- Февраль 2019 (3)
- +2018 (44)
- Декабрь 2018 (4)
- Ноябрь 2018 (7)
- Октябрь 2018 (8)
- Сентябрь 2018 (1)
- Август 2018 (4)
- Июль 2018 (5)
- Май 2018 (3)
- Апрель 2018 (7)
- Март 2018 (1)
- Февраль 2018 (2)
- Январь 2018 (2)
- +2017 (19)
- Декабрь 2017 (2)
- Ноябрь 2017 (1)
- Октябрь 2017 (1)
- Сентябрь 2017 (2)
- Июль 2017 (1)
- Июнь 2017 (1)
- Май 2017 (2)
- Апрель 2017 (3)
- Март 2017 (2)
- Февраль 2017 (1)
- Январь 2017 (3)
- +2016 (36)
- Декабрь 2016 (3)
- Ноябрь 2016 (3)
- Октябрь 2016 (2)
- Сентябрь 2016 (3)
- Август 2016 (7)
- Июнь 2016 (3)
- Май 2016 (3)
- Апрель 2016 (3)
- Февраль 2016 (1)
- Январь 2016 (8)
- +2015 (36)
- Ноябрь 2015 (5)
- Октябрь 2015 (4)
- Сентябрь 2015 (1)
- Август 2015 (8)
- Июнь 2015 (1)
- Май 2015 (4)
- Апрель 2015 (8)
- Март 2015 (3)
- Февраль 2015 (2)
- +2014 (26)
- Ноябрь 2014 (2)
- Октябрь 2014 (5)
- Сентябрь 2014 (6)
- Июль 2014 (1)
- Июнь 2014 (2)
- Май 2014 (3)
- Апрель 2014 (6)
- Февраль 2014 (1)
- +2013 (27)
- Декабрь 2013 (2)
- Ноябрь 2013 (1)
- Октябрь 2013 (1)
- Август 2013 (1)
- Июль 2013 (3)
- Июнь 2013 (10)
- Май 2013 (1)
- Апрель 2013 (2)
- Февраль 2013 (3)
- Январь 2013 (3)
- +2012 (41)
- Декабрь 2012 (2)
- Ноябрь 2012 (3)
- Октябрь 2012 (7)
- Сентябрь 2012 (2)
- Август 2012 (1)
- Июль 2012 (3)
- Июнь 2012 (2)
- Май 2012 (6)
- Апрель 2012 (2)
- Март 2012 (7)
- Февраль 2012 (5)
- Январь 2012 (1)
- +2011 (57)
- Декабрь 2011 (6)
- Ноябрь 2011 (2)
- Октябрь 2011 (3)
- Сентябрь 2011 (5)
- Август 2011 (4)
- Июль 2011 (3)
- Июнь 2011 (3)
- Май 2011 (3)
- Апрель 2011 (4)
- Март 2011 (10)
- Февраль 2011 (5)
- Январь 2011 (9)
- +2010 (43)
- Декабрь 2010 (7)
- Ноябрь 2010 (21)
- Октябрь 2010 (14)
- Сентябрь 2010 (1)
Свежие записи
- Настройка NAT на OPNsense 30.04.2025
- Модуль для DLE парсинга RSS ленты с изображениями 14.04.2025
- Проверка CORS онлайн 04.04.2025
- Декодер JWT онлайн 03.04.2025
- Конвертер RGB в HEX (и обратно) онлайн 02.04.2025
